msg360 AC 配置 Windows nps radius认证

服务类型

设置设备支持的RADIUS服务器类型：

·     Standard：指定Standard类型的RADIUS服务器，即要求RADIUS客户端和RADIUS服务器按照标准RADIUS协议（RFC 2865/2866或更新）的规程和报文格式进行交互

·     Extended：指定Extended类型的RADIUS服务器（一般为iMC），即要求RADIUS客户端和RADIUS服务器按照私有RADIUS协议的规程和报文格式进行交互

用户名格式

设置发送给RADIUS服务器的用户名格式

接入用户通常以“userid@isp-name”的格式命名，“@”后面的部分为域名，如果RADIUS服务器不接受带域名的用户名时，可以配置将用户名的域名去除后再传送给RADIUS服务器

·     保持用户原始输入：表示发送给RADIUS服务器的用户名保持用户原始的输入，不做任何修改

·     带域名：表示发送给RADIUS服务器的用户名带域名

·     不带域名：表示发送给RADIUS服务器的用户名不带域名

认证服务器共享密钥

设置RADIUS认证报文的共享密钥和RADIUS计费报文的共享密钥

RADIUS客户端与RADIUS服务器使用MD5算法来加密RADIUS报文，双方通过设置共享密钥来验证报文的合法性。只有在密钥一致的情况下，彼此才能接收对方发来的报文并作出响应

·     必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致

·     设备优先采用“RADIUS服务器配置”中指定的共享密钥，此处指定的共享密钥仅在“RADIUS服务器配置”中未指定相应共享密钥的情况下使用

确认认证服务器共享密钥

计费服务器共享密钥

确认计费服务器共享密钥

静默时间间隔

设置RADIUS服务器恢复激活状态的时间

当静默时间间隔设置为0时，若当前用户使用的认证或计费服务器不可达，则设备并不会切换它的状态，而是保持其为active，并且将使用该服务器的用户认证或计费的报文发送给下一个状态为active的服务器，而后续其它用户的认证请求报文仍然可以发送给该服务器进行处理

若判断主服务器不可达是网络端口短暂中断或者服务器忙碌造成的，则可以结合网络的实际运行状况，将静默时间间隔设置为0，使得用户尽可能的集中在主服务器上进行认证和计费

服务器应答超时时间

设置RADIUS服务器应答超时时间，以及发送RADIUS报文的最大尝试次数

由于RADIUS协议采用UDP报文来承载数据，因此其通信过程是不可靠的。如果在指定的服务器应答超时时间内没有收到服务器的响应，则设备有必要向RADIUS服务器重传RADIUS请求报文。如果发送RADIUS请求报文的累计次数超过指定的RADIUS报文最大尝试发送次数而RADIUS服务器仍旧没有响应，则设备将尝试与其它服务器通信。如果不存在状态为active的服务器，则认为本次认证或计费失败

服务器应答超时时间和RADIUS报文最大尝试发送次数的乘积不能超过75秒

RADIUS报文最大尝试发送次数

实时计费间隔

设置实时计费的时间间隔，取值必须为3的整数倍

为了对用户实施实时计费，有必要设置实时计费的时间间隔。设置了该属性以后，每隔设定的时间，设备会向RADIUS服务器发送一次在线用户的计费信息

实时计费间隔的取值对NAS和RADIUS服务器的性能有一定的相关性要求，取值越小，对NAS和RADIUS服务器的性能要求越高。建议当用户量比较大（≥1000）时，尽量把该间隔的值设置得大一些

实时计费间隔与用户量之间的推荐比例关系请参见“4.4  注意事项”

实时计费报文最大发送次数

设置允许实时计费请求无响应的最大次数

流量数据的单位

设置发送到RADIUS服务器的流量数据的单位

·     Byte：表示流量数据的单位为字节

·     Kilo-byte：表示流量数据的单位为千字节

·     Mega-byte：表示流量数据的单位为兆字节

·     Giga-byte：表示流量数据的单位为千兆字节

设备上配置的发送到RADIUS服务器的数据流单位及数据包单位应与RADUIS服务器上的流量统计单位保持一致，否则无法正确计费

数据包的单位

设置发送到RADIUS服务器的数据包的单位

·     One-packet：表示数据包的单位为包

·     Kilo-packet：表示数据包的单位为千包

·     Mega-packet：表示数据包的单位为兆包

·     Giga-packet：表示数据包的单位为千兆包

启用EAP Offload功能

设置是否启用EAP Offload功能

由于某些RADIUS服务器不支持EAP认证，即不支持对EAP报文的处理，因此需要将客户端发送的EAP报文在接入设备上进行一些预处理，我们将这种EAP报文的预处理称之为RADIUS的EAP Offload功能

启用了EAP Offload功能的接入设备在接收到EAP报文后，首先会由本地EAP服务器将其中的认证信息转换为对应的RADIUS属性，然后将其封装在RADIUS认证请求报文中发送给RADIUS服务器进行认证。RADIUS服务器收到请求报文后，会解析其中的认证信息，并将认证结果封装在RADIUS报文中发送给接入设备上的本地EAP服务器进行后续与客户端之间的交互

安全策略服务器IP地址

设置安全策略服务器的IP地址

RADIUS报文源IP地址

设备向RADIUS服务器发送RADIUS报文时使用的源IP地址

RADIUS服务器上通过IP地址来标识接入设备，并根据收到的RADIUS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配，来决定是否处理来自该接入设备的认证或计费请求。因此，为保证认证和计费报文可被服务器正常接收并处理，接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致

通常，该地址为接入设备上与RADIUS服务器路由可达的接口IP地址，但在一些特殊的组网环境中，例如接入设备与RADIUS服务器之间存在NAT设备时，需要将该地址指定为转换后的公网IP地址；在接入设备使用VRRP进行双机热备应用时，可以将该地址指定为VRRP上行链路所在备份组的虚拟IP地址

如果不指定此地址，则以发送报文的接口地址作为源IP地址

RADIUS报文源IP地址与RADIUS方案中设置的RADIUS服务器IP地址的协议版本必须保持一致，否则配置能成功但不能生效

RADIUS报文备份源IP地址

设备向RADIUS服务器发送RADIUS报文时使用的备份源IP地址

在双机热备运行的环境下，此地址必须指定为对端设备上的RADIUS报文源IP地址

指定RADIUS报文备份源IP地址，可以保证双机热备环境中主设备发生故障时，服务器发送的报文可以被备份设备收到并进行处理此

缓存未得到响应的停止计费报文

设置是否在设备上缓存没有得到响应的停止计费请求报文

停止计费报文最大发送次数

设置当出现没有得到响应的停止计费请求时，将该报文存入设备缓存后，允许停止计费请求无响应的最大次数

启用accounting-on报文发送功能

设置是否启用accounting-on报文发送功能

在启用accounting-on报文发送功能的情况下，设备重启后，会发送accounting-on报文通知RADIUS服务器该设备已经重启，要求RADIUS服务器强制该设备的用户下线

设备启动后，如果当前系统中没有启用accounting-on报文发送功能的RADIUS方案，则启用此功能后，必须保存配置，这样设备重启后此功能才能生效。但是，如果当前系统中已经有RADIUS方案启用了accounting-on报文发送功能，则对未启用此功能的RADIUS方案启用此功能后，功能会立即生效

accounting-on发送间隔

当启用accounting-on报文发送功能时，设置accounting-on报文重发时间间隔

accounting-on发送次数

当启用accounting-on报文发送功能时，设置accounting-on报文的最大发送次数

属性

设置开启RADIUS Attribute 25的CAR参数解析功能

属性值类型

服务器类型

设置要添加的RADIUS服务器类型，包括：主认证服务器、主计费服务器、备份认证服务器、备份计费服务器

IP地址

设置RADIUS服务器的IP地址，可以配置IPv4地址或IPv6地址

·     主认证服务器和备份认证服务器的IP地址不能相同，主计费服务器和备份计费服务器的IP地址不能相同

·     同一RADIUS方案中所有RADIUS服务器的IP地址协议版本必须一致

端口

设置RADIUS服务器的UDP端口号

密钥

设置RADIUS服务器的共享密钥

当RADIUS服务器中未指定共享密钥时，使用RADIUS方案的通用配置中指定的共享密钥

确认密钥